Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критическая уязвимость CVE-2025-33073 в Kerberos Active Directory

49
3 мин
В недавнем отчёте представлено подробное исследование критической уязвимости CVE-2025-33073, связанной с отражёнными атаками Kerberos в инфраструктуре Active Directory (AD). Эксперты выявили новые возможности обхода существующих мер защиты, что существенно расширяет возможности злоумышленников и требует немедленных действий по снижению рисков. Исследование началось с анализа контроллера домена (Domain Controller, DC), созданного в лабораторной среде с целью разработки методов взлома. Ключевым элементом атаки стала техника манипулирования DNS-записями, включающая добавление так называемой «магической строки» к имени хоста. Это позволило злоумышленнику добиваться успешной принудительной аутентификации. Несмотря на то что отражённые атаки Kerberos традиционно осложняются из-за мер по предотвращению блокировки сообщений сервера SMB (Server Message Block) с 2008 года, проведённые тесты показали, что в определённых условиях система безопасности может быть успешно обойдена. Результаты тестиро
Оглавление

В недавнем отчёте представлено подробное исследование критической уязвимости CVE-2025-33073, связанной с отражёнными атаками Kerberos в инфраструктуре Active Directory (AD). Эксперты выявили новые возможности обхода существующих мер защиты, что существенно расширяет возможности злоумышленников и требует немедленных действий по снижению рисков.

Суть уязвимости и методика атаки

Исследование началось с анализа контроллера домена (Domain Controller, DC), созданного в лабораторной среде с целью разработки методов взлома. Ключевым элементом атаки стала техника манипулирования DNS-записями, включающая добавление так называемой «магической строки» к имени хоста. Это позволило злоумышленнику добиваться успешной принудительной аутентификации.

Несмотря на то что отражённые атаки Kerberos традиционно осложняются из-за мер по предотвращению блокировки сообщений сервера SMB (Server Message Block) с 2008 года, проведённые тесты показали, что в определённых условиях система безопасности может быть успешно обойдена.

Подтверждение масштабов угрозы

Результаты тестирования в другом лабораторном окружении подтвердили серьёзность уязвимости: злоумышленнику удалось извлечь базу данных Security Account Manager (SAM). Это свидетельствует о более широком потенциале атаки и серьёзных последствиях для защиты данных пользователей в AD.

Ключевые условия эксплуатации уязвимости

  • _Отключение подписи SMB_ или установка значения “при согласовании”;
    Эти параметры позволяют упростить принудительную аутентификацию.
  • Наличие действительных учётных данных пользователя домена;
    Они требуются для создания DNS-записей, необходимых для перенаправления трафика аутентификации.
  • Разрешённый доступ к манипулированию DNS-записями;
    Как правило, в большинстве сред нет строгих ограничений на создание DNS-записей, что открывает вектор атаки.

Технические детали и используемые инструменты

Технология атаки базируется на использовании серверов-участников через манипулирование именами участников-служб (Service Principal Names, SPN), которые связаны с конкретными хостами. Особенно это важно, когда записи DNS соответствуют SPN, но отличаются от NETBIOS-имени. Это требует глубокого понимания конфигурации сети для успешного выполнения атаки.

Для реализации принудительной аутентификации могут применяться следующие инструменты:

  • mitm6
  • pretender
  • responder

Однако создание DNS-записей зачастую оказывается более простым и эффективным методом при проведении penetration testing.

Значение для специалистов по кибербезопасности

CVE-2025-33073 подчёркивает важность тщательного управления конфигурациями Active Directory и внимательной оценки уязвимостей. Специалистам необходимо уделить особое внимание следующим аспектам:

  • Обеспечить корректную настройку и контроль подписи SMB;
  • Ограничить возможности создания и изменения DNS-записей;
  • Следить за использованием и защитой учётных данных домена;
  • Регулярно проводить аудит систем на наличие подобных уязвимостей и подозрительных действий.

Несоблюдение этих рекомендаций повышает вероятность успешного проведения отражённых атак Kerberos, что может привести к критическим нарушениям безопасности.

Вывод

Уязвимость CVE-2025-33073 является серьёзным вызовом для организаций, управляющих средами Active Directory. Она демонстрирует, что даже накопленные с 2008 года меры безопасности способны быть обходными при определённых условиях. Для защиты от данного вектора атак необходим системный подход, включающий управление конфигурациями, контроль доступа и повышение осведомлённости специалистов.

Данный случай служит напоминанием о том, что информационная безопасность требует постоянного внимания и обновления практик в условиях меняющегося ландшафта угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость CVE-2025-33073 в Kerberos Active Directory".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются